陳宛綺
針對網站應用程式 (Web Application) 的攻擊層出不窮, 不僅僅是傷害網站聲譽, 更嚴重的是, 重要的客戶機密資料更因此漏洞而被駭客掌握。
許多血淋淋的實際案例在這兩年已經發生不少, 讓企業與民眾都損失慘重。因此, 近年來, 可以針對網站應用程式攻擊進行安全檢測與防禦的網頁應用程 式防火牆 (Web Application Firewall, WAF) 的需求大增。
本文目錄
WAF 重要性漸顯
在 WAF 面世以前,網站管理者得妥善的設定網站伺服器,並運用防火牆、入侵防禦系統保護網站,而碰到弱點來源來自於網站應用程式時,往往束手無策,除了修改程式或是關站以外別無他法,這讓管理者所承受的壓力與付出的成本大大的增加。
現在, 網站管理員有了 WAF,就好像網管人員有了防火牆一樣,有了一個能夠有效對抗外來威脅的堅甲利盾,可以確保網站的安全性,即使發生疏失時依然能維持一定的水準,因此 WAF 可以算得上是相當必要的資安產品,只要有網站的單位都會需要,如果網站做為主要服務項目或是重要營收來源,WAF 更是不可或缺的必備產品。
Barracuda 臺灣區總經理張哲生表示, 過去企業大多對於資訊安全的相關防禦設備抱持著可有可無 (nice to have) 的被動心態,就像買保險一樣, 只是買個防毒軟體、防火牆, 反正有買就好。不過, 隨著 We b 化的服務與應用成為最普遍的網站運作模式, 駭客的攻擊方式也轉向聚焦於此, 越來越多的攻擊手法是針對網站應用程式而來, 金融、保險、政府、電信等單位都轉向主動積極的態度, 來避免可能的損失,也逐漸瞭解 WAF 的重要性。
 |
| Barracuda 臺灣區總經理張哲生 |
張哲生表示,Barracuda 的 WAF 是以資訊安全的角度出發,可以有效過濾、掃瞄各種通訊協定與應用程式內容,並執行企業所定義的安全政策,可阻擋 Cross Site Scripting(XSS) 、 SQL Injection 、緩衝區溢位 (Buffer Overflow) 等惡意攻擊行為。
WAF 不再只是 WAF
不過,有些人擔憂,在網路架構多增加一臺 WAF,等於多增加一個節點,是否會影響到網站運作效能。張哲生指出,有鑑於客戶對此需求大增,Barracuda 將原本屬於選配的網站加速、 SSL 加解密等功能,已經內建在 Barracuda 的 WAF 產品線中,成為標準配備,讓網站既可擁有安全防護罩,也可增進網頁應用程式的運算效能。
張哲生進一步解釋,Barracuda 的產品內建了快取 (Caching) 、 SSL 加解密、負載平衡 (Load Balance) 等技術,能夠提高網站 30% 的效能。換句話說,Barracuda 的 WAF 除了能夠阻斷外部攻擊之外,還具備了網站效能加速的功能。
除此之外,張哲生透露,今年 Barracuda 的 WAF 還將在今年第三季加入網頁過濾 (URL Filtering) 的功能,可以兼顧由內至外的安全風險。張哲生解釋,透過 URL Filtering 可以讓企業內部的使用者若是不慎誤點了惡意連結,WAF 一旦偵測即可阻斷連線,免於各種惡意程式的入侵。
……未完(更多內容請參閱網路資訊雜誌 2009 年 5 月號 210 期)